SysSpec

System Specs — Специализированные технозаметки

Гайд\Инфо

Просрочен сертификат acme.zerossl.com

Порой решать некоторые вопросы технического характера — быть еще одним Шерлок Холмсом.
Собрался зайти на свой второй неоприходованный блог, а там…. сертификат протух.
Ну понятное дело, надо обновлять, но как-то странно что автоматически это не отработало.
В кроне прописано…
Запуск вручную говорит такое:

Create new order error. Le_OrderFinalize not found. {«type»:»urn:ietf:params:acme:error:unauthorized»,»status»:401,»detail»:»A requested identifier is not permitted [dotntech.ru]»}

Да, dotntech.ru мой второй блог. И там forced SSL так что проигнорировать не получится.
Я уж подумал что региональные ограничения начали играть злую шутку, но по логике вещей, это слишком странно, и отодвигал это мысль подальше, в принципе правильно сделал. Кто бы что в мне не творил, право на защиту информации должно быть у всех как право на жизнь.
Но ближе к теме с этими sslивками,
Я использую скрипт для обновления сертификатов acme.sh это открытый проект для удобного использования серверов бесплатных ssl сертификатов. По моему так.
Копал проблему относительно долго. Описание ошибки ни к чему не приводило.
Сервер у меня на nginx соответсвенно в файле ошибок тоже есть ориентир

OCSP response not successful (6: unauthorized) while requesting certificate status, бла бла бла

Эта же ошибка твердит о том что механизм OCSP не может подключиться к домену так как он не авторизован, а не авторизован он потому, что попросту сертификат просрочен — я это так понимаю. И странно, надо обновить сертификат который истёк, но ты не можешь потому что у тебя сертификат истёк. *Максимально задумчивое лицо*
Наверное надо удалить старые сертификаты. переименовал оригиналы.
Не помогло, вернул как было.
Указав параметр acme.sh —debug 2 —renew-all уже пошли какие-то подсказки.
Обновиться! Нужно обновить скрипт! Так что acme.sh —upgrade казалось панацеей и лекарством от всех красных текстов в консоли, но не тут то было. Скрипт новый, конфиги старые.
Ошибка не ушла. Следующей мыслью было что аккаунт к которому привязан сертификат протух, я пытался его обновить acme.sh —update-account в итоге получаю подсказку

Account key is not found at: /etc/letsencrypt/ca/acme-v02.api.letsencrypt.org/directory/account.key

А по факту у меня папка /etc/letsencrypt/ca/acme.zerossl.com/v2/DV90/account.key
Я не смог найти де это прописано, и хорошо! Ибо zerossl аккаунт просрочился либо URL уже все!
Оказывается все и везде где прописано acme.zerossl.com уже не актульно, если перейти по ссылке получим 404 и в логах дебага светится эта цифра, с этого и стоило начинать)
acme.sh —set-default-ca —server letsencrypt
перевел нас на сервер сертификатов letsencrypt.org и наши ссылки вместо
acme.zerossl.com/v2/DV90
стали
acme-v02.api.letsencrypt.org/directory
Не знаю это ли помогло, по факту я сменил сервер. Просто через одно место, но сменил))
В судорогах я пытался решить проблему и CA видимо сменил раньше чем написал —update-account
На всякий я в файлах везде в папке /etc/letseencrypt/ внутри каждого conf\json файла переписал url нового CA. Вполне возможно это и не нужно делать.

По сути смена центра сертификации и acme.sh —register-account в новом центре сертификации вернул мне SSL сайт)
А статья может кому-то поможет не усложнять себе жизнь и проверить актуальность аккаунта в центре сертификации. Потому что по упомянутым ошибкам нет объяснения которые бы натолкнули на суть проблемы.

Порой решать некоторые вопросы технического характера — быть еще одним Шерлок Холмсом.Собрался зайти на свой второй неоприходованный блог, а там…. сертификат протух.Ну понятное дело, надо обновлять, но как-то странно что автоматически это не отработало.В кроне прописано…Запуск вручную говорит такое: Create new order error. Le_OrderFinalize not found. {«type»:»urn:ietf:params:acme:error:unauthorized»,»status»:401,»detail»:»A requested identifier is not permitted [dotntech.ru]»} Да, dotntech.ru…